Este mes, los investigadores descubrieron un ataque de múltiples etapas llevado a cabo por un grupo APT indefinido. Durante este ataque, los adversarios utilizaron la función Malleable C2 en Cobalt Strike para realizar comunicaciones C&C y entregar la carga útil final. Los investigadores señalan que los atacantes usan técnicas avanzadas de evasión. Observaron un retraso intencional en la ejecución de la carga útil desde la macro maliciosa de Word. Además, los atacantes ocultan el shellcode dentro del script jQuery devuelto en la respuesta HTTP y lo cargan en un búfer en la memoria sin tocar el disco para evitar la detección por las soluciones de seguridad.
Cobalt Strike es una herramienta de pentesting de pago que se puede usar para cargar shellcode en máquinas víctimas. Cuenta con una gran cantidad de funcionalidades, incluyendo ejecución de comandos, registro de teclas, transferencia de archivos, proxy SOCKS, escalada de privilegios, mimikatz, escaneo de puertos y movimiento lateral.
Nueva regla comunitaria por Osman Demir permite a las soluciones de seguridad detectar indicios de esta campaña y encontrar Cobalt Strike en la red de la organización: https://tdm.socprime.com/tdm/info/GYbSaAgHMIKR/r2Rd23IBQAH5UgbBG7zA/?p=1
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tácticas: Acceso Inicial
Técnicas: Archivo Adjuntos Spearphishing (T1193)
Más contenido para detectar modificaciones de Cobalt Strike: https://tdm.socprime.com/?searchValue=cobalt+strike
